Skip to main content

感應器設定範例

安裝和啟用感應器後,您必須在感應器本身執行初始設定以新增要進行自動化的網路設備。此初始組態可以互動的從命令列執行,也可以用從文字檔案新增或讀取組態參數的方式執行。

以下的範例示範使用互動的設定方法新增基於感應器的自動化的各種網路設備類型。

Important

每個網路設備的登入密碼必須符合 DigiCert 密碼的需求,這樣才可以搭配自動化使用。密碼必須包含大小寫字母、數字或符號。

允許不同網路設備類型的符號:

  • A10:!@#$%^()-+_ {}[]~?:./

  • Citrix NetScaler:~!@#$%^*()_+-|`{}[]:;?/,."

  • F5 BIG-IP:~!@#$%^&*()_+`-={}[]|;:'"<>,./?

A10

若要新增 A10 負載平衡器進行基於感應器的自動化,請在感應器系統上執行 addagentless 公用程式與 -type A10 引數。

互動式設定工作階段範例:

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port (443):443
If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N
Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer.
Enter admin username:admin
Enter admin password:
Confirm admin password:
Successfully added or changed the agentless.
IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.

A10 高可用性

若要新增 A10 高可用性負載平衡器進行基於感應器的自動化,請在感應器系統上執行 addagentless 公用程式與 -type A10 -ha VRRPA 引數。

互動式設定工作階段範例:

Sensor CLI. Copyright 2021, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port (443):443
Important: Enter an account that has admin (superuser) permission to manage all partitions on the A10 load balancer.
Enter admin username:admin
Enter admin password:
Confirm admin password:
Enter SSH enable password:
Confirm SSH enable password:
For high availability configurations, enter the management IP address and login information for each additional load balancer in the configuration. To finish the list, press Return at the prompt (blank input).
Enter management IP address, port, and username (separated by commas):10.141.17.192,443,admin
Enter admin password:
Confirm admin password:
Enter management IP address, port, and username (separated by commas):
Successfully added or changed the agentless.
IMPORTANT: After you run this command, return to Manage Automation Agents. Verify that the certificate host appears and is configured.

Citrix NetScaler

若要新增 Citrix NetScaler 負載平衡器進行基於感應器的自動化,請在感應器系統上執行 addagentless 公用程式與 -type NETSCALER 引數。

互動式設定工作階段範例:

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter the management IP:10.141.17.192
http or https:https
Enter management Port (443):443
If available, do you want to map this sensor with the previously voided loadbalancer (Y/N)?:N
Enter webservice username:nsroot
Enter webservice password:
Confirm webservice password:
Enter SSH username:nsroot
Enter SSH password:
Confirm SSH password:
Enter SSH port:22
Successfully added or changed the agentless. HA Pair peers are
Management IP : 10.141.17.192     (Primary)
The sensor may use any of these management IP addresses to perform certificate automation activities.
IMPORTANT: After you run this command, return to Manage Automation Agents in console. Verify that the certificate host appears and is configured.

F5 BIG-IP

若要新增 F5 BIG-IP 負載平衡器進行基於感應器的自動化,請在感應器系統上執行 addagentless 公用程式與 -type BIGIP 引數。

互動式設定工作階段範例:

Sensor CLI. Copyright 2020, DigiCert Inc.
Add or change login credentials and specify data IP addresses for certificate automation.
Enter management IP address:10.141.17.192
Enter Management Port:443
If available, do you want to map this sensor with the previously voided load balancer (Y/N)?:N
Enter web service username: admin
Enter web service password:
Confirm web service password:
Successfully added or changed the agentless automation. This applies to the following HA Pair peers :
Management IP: 10.141.17.192  (ACTIVE)
Starting agentless configuration for this host. Go to Automated IPs in CertCentral to finish configuring host details and set up automation.

新增 F5 BIG-IP 負載平衡器時,感應器自動在可以自動化的 IP/連接埠上收集資訊。

關於成功自動化:

  • 設定虛擬 IP 時,確定選擇僅支援網路通訊協定。:UDP 通訊協定不支援自動化。使用 UDP 通訊協定設定的虛擬 IP 將經過篩選且無法探索。

  • 關於以 iApp 範本設定的虛擬伺服器,為了成功自動化,請停用嚴格更新。在 F5 主控台中,前往 iApps Application Services 資料夾,然後清除嚴格更新核取方塊。

  • 關於您的虛擬伺服器組態,請勿新增目的地位址/遮罩。自動化無法識別指定為 xxx.xxx.xxx.xxx/0 的目的地位址。位址顯示為 0.0.0.0。此類 IP 無法自動化。

  • 關於高可用性 (HA) 組態,addagentless 公用程式只需要執行一次。請輸入其中一個負載平衡器的浮動 IP 或管理 IP。感應器將自動偵測 HA 同儕組態。

Amazon Web Services (AWS)

DigiCert 基於感應器的自動化支援 AWS 應用程式/網路負載平衡器 (ALB/NLB) 和 AWS CloudFront。請注意:

  • 最近自動化的憑證將儲存在 AWS Identity and Access Management (IAM) 的原始憑證外的 AWS Certificate Manager (ACM) 中。

  • 自動化沒有憑證的分配時,AWS 建議將分配設定修改為:

    • SSLSupportMethodsni-only

    • MinimumProtocolVersionTLSv12_2019

Note

存取權限受限的使用者需要所列出原則的權限。

關於 AWS ALB/NLB:

對於 AWS CloudFront:

若要新增 AWS ASL/NLB 負載平衡器進行基於感應器的自動化,請在感應器系統上執行 addagentless 公用程式與 -type AWS 引數。

若要新增 AWS CloudFront 分配進行基於感應器的自動化,請在感應器系統上執行 addagentless 公用程式與 -type AWS-CLOUDFRONT 引數。

在設定期間,提示您選取以下其中一個 AWS 登入方法:

  1. 使用預設的 AWS 認證提供者鏈

  2. 您自己提供認證

  3. 使用 AWS 設定檔名稱

以下是新增 AWS ALB 或 NLB 負載平衡器到感應器中的互動式範例,選取這 3 個不同的登入方法 (使用頂端的標籤檢視每一個)。如需其他與 AWS 認證有關的詳細資料,請遵照這些範例執行。

AWS 認證:提供者鏈

新增 AWS 負載平衡器進行基於感應器的自動化時,您可以選擇使用 AWS 認證提供者鏈進行登入。使用此方法後,在自動化事件期間可依以下順序尋找登入認證:

  1. 環境變數 – AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY

    :您必須重新啟動感應器:

    • 如果在已經安裝和執行感應器時新增環境變數。

    • 如果在感應器執行時更新或變更環境變數。

  2. 在預設位置 (~/.aws/credentials) 的認證設定檔由所有 AWS SDK 和 AWS CLI 共用。

    為了成功驗證,我們建議:

    • 新增 AWS_CREDENTIAL_PROFILES_FILE 環境變數。

    • 將認證檔案設定在感應器和使用者都可以存取的位置。

    例如:AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

    :如果在感應器執行時更新或變更環境變數,此時您必須重新啟動感應器。

  3. 執行個體設定檔透過 Amazon EC2 中繼資料服務傳送。

    為了成功的執行個體認證驗證:

    1. 感應器必須安裝在 EC2 執行個體上。

    2. 識別和存取管理 (IAM) 角色必須連結到 EC2 執行個體。若要建立和連結 IAM 角色至執行個體,請參閱建立 IAM 角色指派 IAM 角色到執行個體 (以下)。

    3. 與執行個體關聯的 IAM 角色必有以下的原則驗證:

如需更多詳細資料,請參閱 AWS 說明文件

建立 IAM 角色

  1. 登入「AWS 管理主控台」,然後選取 IAM 服務。

  2. 在資訊看板功能表中,選取存取管理 > 角色。然後選取建立角色

  3. 在「建立角色」頁面上,選取 AWS 服務信任的實體類型和 EC2 使用情況。然後,選取下一步:權限

  4. 選擇您要指派給角色的原則。然後,選取下一步:標籤

  5. 指派標籤到角色 (選用),然後選取下一步:檢閱

  6. 輸入角色名稱,新增說明 (選用),然後選取建立角色

指派 IAM 角色到執行個體

  1. 在「AWS 管理主控台」上,選取 EC2 服務。

  2. 在資訊看板功能表中,選取執行個體

  3. 在「執行個體」頁面上,選擇執行個體。接著,選取動作 > 執行個體設定 > 附加/取代 IAM 角色

  4. 在「附加/取代 IAM 角色」頁面上,選擇要附加到您的執行個體的 IAM 角色。然後選取套用

Important

在這些位置的其中至少一個中提供認證讓感應器連線至 AWS。

AWS 認證:設定檔名稱

若要使用適用於您的登入認證的 AWS 設定檔名稱,請使用金鑰/值組合設定設定檔。您可以在位於預設位置 (~/.aws/credentials) 的 AWS 認證設定檔中這樣做,該位置由所有 AWS SDK 和 AWS CLI 共用。

為了成功驗證,我們建議:

  • 新增 AWS_CREDENTIAL_PROFILES_FILE 環境變數。

  • 將認證檔案設定在感應器和使用者都可以存取的位置。

例如:AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

[default]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile1]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile2]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

[profile3]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY

如果您正在用多個 AWS 帳戶工作,您可以透過在您的認證檔案中建立多個設定檔 (認證集) 的方式輕鬆切換您的帳戶。

每個區段 (例如 [default], [profile1], [profile2]),代表個別的認證設定檔。中括號中的關鍵字是您的設定檔名稱。

Important

如果您未指定 AWS 設定檔案名稱作為登入名稱,將使用 AWS 帳戶 ID 作為您的登入認證。